Du risk management 2016 de la gouvernance - AMRAEamrae.fr/sites/default/files/udr/2016_01_CTRMSTRATEGIE_WEB_AMRA… · A propos de l’AMRAE L’Association pour le Management des

RISK MANAGEMENTET

STRATÉGIE

Du risk management de la gouvernance

aurisk management

de la performance

Liv

re B

lan

c 2

01

6

A propos de l’AMRAE

L’Association pour le Management des Risques et des Assurances de l’Entreprise rassemble plus de 1000 membres appartenant à 950 entreprises françaises publiques et privées.

L’association a notamment pour objectifs de développer la « culture » du Management des Risques dans les organisations et d’aider ses membres dans leurs relations avec les acteurs du monde de l’assurance et les pouvoirs publics. Elle les conseille dans l’appréciation des risques, dans la maîtrise de leurs financements et leurs dépenses d’assurance.

Sa filiale AMRAE Formation, pour répondre aux besoins de formation professionnelle de ses adhérents ou de ceux qui légitimement s’adressent à elle, dispense des formations diplômantes, certifiantes et qualifiantes de haut niveau.

3

L’AMRAE adresse ses remerciements à ceux qui ont contribué à la réalisation de cette publication

• Bruno Dunoyer de Segonzac, Coaching et Formation en risk management• Olivia Zitouni, Risk Officer Apprentie, ESCP Europe

Merci à Bruno Dunoyer de Segonzac et Olivia Zitouni qui ont conduit cette étude et les entretiens, et qui en ont tiré de nombreux enseignements utiles aux professionnels du risk management.

Nous remercions tous les répondants au questionnaire et les personnes interviewées qui se reconnaîtront pour le temps et l’intérêt qu’ils ont consacré à cette étude.

4

Table des matières

Table des matières .............................................................................................. 4

Table des illustrations .......................................................................................... 5

Editorial ............................................................................................................ 6

Objectifs ........................................................................................................... 7

Méthodologie ..................................................................................................... 8

Introduction ....................................................................................................... 9

1. Echelle de maturité du risk management ........................................................... 9

1.1. Trois grands niveaux de territoire d’intervention ............................................ 9

1.2. Quatre degrés de positionnement ............................................................. 10

2. Les attributions du risk management dans le processus décisionnel ..................... 11

2.1. Trois postures d’orientation du risk management ........................................ 11

2.1.1. Posture « Compliance » ........................................................................ 11

2.1.2. La posture « Stratégie et projets » ......................................................... 14

2.1.3. La posture « Business partner » ............................................................. 15

2.2. Ces trois postures répondent à des besoins qui s’expriment différemment selon la culture des entreprises et le marché sur lequel elles opèrent. ............... 18

2.2.1. Un outil de gouvernance ....................................................................... 18

2.2.2. Un outil de gestion ............................................................................... 19

2.2.3. Un outil de performance ....................................................................... 19

3. En matière de projets, de risques pays définition de limites de risques ................. 21

3.1. Définition des limites de risques ............................................................... 21

3.2. Le risk management et les grands projets .................................................. 22

4. Apprécier les modalités de participation du risk management à la définition et à l’analyse de scenarios extrêmes ............................................................... 23

5. Identifier les meilleures pratiques en matière de gouvernance et leadership de la filière risk management ......................................................................... 25

6. Faire évoluer la fonction risk management ....................................................... 28

6.1. De quoi le risk management dans une entreprise donnée a-t-il besoin pour gagner davantage d’une autre posture ? ............................................. 28

Conclusion ....................................................................................................... 29

Annexe 1 : Analyse sémantique des interviews ..................................................... 30

Annexe 2 : Introduction aux résultats du questionnaire ......................................... 30

Annexe 3 : Résultats du questionnaire et commentaires par item ............................ 31

5

Table des illustrations

Figure 1. Trois territoires de positionnement du risk management ............................. 9

Figure 2. Quatre degrés de positionnement du risk management ............................ 10

Figure 3. Echelle de maturité du risk management ................................................ 11

Figure 4. Portrait-robot du risk manager « Compliance » ........................................ 12

Figure 5. Interactions du risk manager « Compliance » .......................................... 13

Figure 6. Portrait-robot du risk manager « Stratégie et projets » ............................. 14

Figure 7. Interactions du risk manager « Stratégie et projets » ............................... 15

Figure 8. Portrait-robot du « Business partner » .................................................... 16

Figure 9. Interactions du risk manager « Business partner » ................................... 17

Figure 10. Trois postures du risk management ...................................................... 18

Figure 11. Risk management outil de gouvernance ................................................ 19

Figure 12. Risk management outil de gestion ....................................................... 19

Figure 13. Risk management outil de performance ................................................ 19

Figure 14. Différentes postures répondant à des besoins différents selon les entreprises .......................................................................... 20

Figure 15. L’approche du budget selon les trois postures de risk management .......... 21

Figure 16. Equilibre complet du risk management ................................................. 25

Figure 17. Structure de risk management majoritaire ............................................ 26

Figure 18. Tendance à l’orientation vers le « Business partner » .............................. 26

Figure 19. Forme actuelle la plus aboutie de risk management ................................ 27

Figure 20. Matrice des besoins pour faire évoluer une posture de RM ....................... 28

Figure 21. Matrice changement organisationnel .................................................... 29

6

Editorial

« La cartographie des risques est la photo dans laquelle se cachent de nouvelles opportunités ».

La définition de l’appétit aux risques et le pilotage de l’exposition aux risques sont de plus en plus attendus par les Conseils d’administration et les Directions générales, pour mieux répondre à un environnement des affaires en pleine mutation et difficile à appréhender.

Cette étude conduite auprès de nombreux risk managers expérimentés, en France et en Europe, exerçant dans des entreprises variées, vise à nous donner un temps d’avance, en rassemblant les meilleures expériences des uns et les idées nouvelles des autres.

Pour réussir à transposer ces concepts dans son entreprise, le Directeur du management des risques devra faire évoluer le profil des risk managers, compléter leurs compétences, communiquer une nouvelle idée de la gestion des risques.

Ce Cahier Technique a vocation à aider chaque risk manager à faire évoluer sa fonction du « risk management de la gouvernance au risk management de la performance ». Un risque qui en vaut la peine.

Cette étude vient compléter utilement le baromètre du risk manager 2015 présenté par l’Amrae en septembre dernier, qui était axé sur la personne du risk manager.

Ce livre blanc auquel a participé activement l’Amrae aborde la place du risk management dans la stratégie de l’entreprise. Il se veut concret et pragmatique en s’appuyant sur le témoignage et l’expérience de risk managers engagés au quotidien dans cette démarche.

Il procure au risk manager des outils et des critères lui permettant de positionner la maturité de la gestion des risques de son entreprise sur une échelle objective. Il permet aussi au-delà du constat de se projeter dans l’avenir, en proposant une évolution de la posture, en passant d’un risk management de gouvernance à un risk management de performance.

Nous pensons également qu’au-delà de notre communauté, il aidera les dirigeants de nos entreprises à encore mieux comprendre l’intérêt de disposer d’une gestion des risques structurée, contributive à la création de valeur.

Nous espérons que ces analyses vous seront utiles et contribueront à renforcer la place et la reconnaissance de notre profession, ce qui est la vocation de notre association.

Michel DenneryPilote du groupe de travail AMRAEBoard Member of FERMA

François Malan Vice-Président de l’AMRAEen charge du métier RM

7

Objectifs

Les objectifs de l’étude sont les suivants :

1. Permettre à tout lecteur de se positionner sur une échelle de maturité du risk management, et identifier les zones de progrès.

2. Comparer, parmi les entreprises jugées les plus matures, les attributions du risk management dans le processus décisionnel, identifier les différents rôles et missions du risk management dans ce processus, et recenser les différentes pratiques positionnant le risk management comme élément de diagnostic, de conseil et/ou de leadership du processus de prise de décision, au-delà de l’outil d’aide à la décision.

3. En matière de projets, de risques pays et de définition de limites de risque, recenser les critères de risques mis en place par les entreprises et identifier les éventuelles corrélations entre ces critères et la définition de limites.

4. Apprécier les modalités de participation du risk management à la définition et à l’analyse de scenarios extrêmes, et des conclusions tirées par les entreprises en matière de limites, ou de renoncement à certains business.

5. Identifier les meilleures pratiques en matière de gouvernance et leadership de la filière risk management, mettre en évidence les éventuelles relations entre cette gouvernance et la participation au processus décisionnel.

8

Méthodologie

Il a été procédé à une sélection de risk managers à interviewer, complétée par un sondage qui a permis de faire émerger un certain nombre d’entreprises ayant des pratiques avancées en matière de risk management.

Un questionnaire en ligne (cf Annexe n°3 page 31) a été envoyé à près de 180 Directeurs du management des risques d’entreprises en majorité membres de l’AMRAE, d’autres faisant partie d’association de risk management en Europe. La période de collecte des réponses s’est échelonnée du 1er avril au 29 avril 2015.

Près de 40 risk managers ont répondu au questionnaire en ligne, soit une participation de 22%.

22 % est un taux de participation dans l’absolu relativement faible mais dans la moyenne des taux de réponses des questionnaires professionnels.

En parallèle du sondage, des entretiens individuels ont été réalisées afin de collecter des données riches et non statistiques en vue de procéder à une analyse qualitative des rôles et missions du risk management. Un panel de 12 personnes comprenant essentiellement des risk managers de grands groupes de secteurs divers dont les sièges sociaux sont situés en France, en Europe ou dans le monde. Parmi les personnes interviewées, ont également été interrogés un risk manager d’une collectivité territoriale, un directeur audit et risques, un administrateur, ainsi qu’un chercheur spécialisé dans les problématiques de gouvernance et risk management.

Les personnes interviewées ont été rencontrées suite à un processus de sélection d’entreprises et organisations avancées en risk management.

Les entretiens individuels ont été réalisés en face à face et par téléphone au cours des mois d’avril et mai 2015 auprès d’interviewés résidant en France, Europe et monde.

La présente étude est une synthèse de l’analyse des résultats des questionnaires, et des interviews.

9

Introduction

Dans le rapport qui suit, nous nous sommes efforcés de construire des outils de lecture afin de comprendre les meilleures pratiques du risk management d’aujourd’hui. Nous avons élaboré des outils de développement qui permettent premièrement, à tout risk manager, de comprendre comment le risk management se positionne dans les entreprises.

Dans un deuxième temps, le rapport permet au risk manager de trouver les moyens de son évolution selon les besoins de son entreprise. Nous espérons que ce rapport soit compris comme un apport qui ne se limite pas à la réflexion conceptuelle mais comme une approche de solutions simples et concrètes à mettre en œuvre, pour les risk managers qui souhaitent faire évoluer leur fonction.

1. Echelle de maturité du risk management

A la lecture du sondage, il est possible de dégager une vision de la maturité du risk management dans les entreprises en considérant trois grands niveaux de territoire d’intervention et 4 degrés de positionnement.

1.1. Trois grands niveaux de territoire d’intervention

Territoire 3• Risques éthiques• Risques stratégiques• Risques de gouvernance

Territoire 2

• Risques SI• Risques juridiques et réglementaires• Risques RH• Risques projets• Réputation et image

Territoire 1 • Risque industriel• Risque commercial et distribution

Figure 1. Trois territoires de positionnement du risk management

Le premier niveau de territoire implique l’identification et la valorisation des risques opérationnels ou industriels, dans un objectif de transfert du risque assurable.

Le deuxième niveau de territoire implique un risk management présent sur les risques du premier niveau, plus les risques SI, juridiques et réglementaires, RH, projets, réputation et image, commerce et distribution.

Le troisième niveau de territoire implique un risk management présent sur les risques des deux précédents territoires, étendus aux risques pays (politiques), éthiques, stratégiques et risques de gouvernance.

10

1.2. Quatre degrés de positionnement

Au degré de positionnement A, la mission du risk manager se limite à l’identification et la valorisation des risques, apporter l’assurance sur l’efficacité de la méthode de risk management et être le garant de cette méthode dans l’entreprise.

Au degré de positionnement B, la mission du risk manager comprend les éléments du degré A, plus les actions de transfert aux assurances, la mise en œuvre des plans d’actions. A ce stade, il n’intervient pas, son avis sur les risques n’est pas sollicité.

Au degré de positionnement C, la mission du risk manager comprend les éléments des 2 degrés précédents A et B plus le pilotage des plans d’actions, la communication aux marchés. A ce stade les analyses du risk manager ont la capacité d’influencer la stratégie de l’entreprise.

Au degré de positionnement D, la mission du risk manager comprend les éléments des 3 degrés précédents A, B, C, plus la participation à la prise de décision et à la définition du niveau d’appétence aux risques de l’entreprise.

A

identification, valorisation des risques, garant de l’efficacité de la méthode

B

A + transfert aux assurances, mises en œuvre des plans d’action

C

A+B+ pilotage des plans d’action, communication aux marchés,

capacité à influencer la stratégie d’entreprise

D

A+B+C+ participe à la prise

de décision et définition du niveau

d’appétence au risque

Figure 2. Quatre degrés de positionnement du risk management

11

L’échelle de maturité peut alors se lire grâce au tableau suivant, 1 étant la maturité la moins élevée et 5 la maturité la plus élevée :

Degrés de positionnement A B C DTe

rritoires

d’in

terv

ention T1

risques : industriel, commerce et distribution

1 1 2 3

T2 Territoire 1 + risques SI, juridiques et réglementaires, RH, projets, réputation et image

2 2 3 4

T3 Territoire 1 + 2 + risques : éthique, stratégiques et gouvernance

3 3 4 5

Figure 3. Echelle de maturité du risk management

2. Les attributions du risk management dans le processus décisionnel

L’accès du risk management aux instances décisionnelles est fort. Le sondage indique que 70% des répondants ont un accès immédiat et direct avec le management dirigeant. Les entretiens réalisés ont tous été dans ce sens. Précisons qu’il n’est pas rare de voir des organisations en double « reporting » avec une capacité du risk management à parler librement au Directeur Général ou au Comité de direction. 78% des répondants présentent les risques émergents identifiés directement au management décisionnel.

Issue du besoin de l’entreprise, la posture du risk management est différente selon les entreprises. Par conséquent, la relation avec la direction de la stratégie et les instances décisionnelles varie très largement d’une entreprise à une autre. Nous avons pu identifier trois postures d’orientation de risk management.

2.1. Trois postures d’orientation du risk management

2.1.1. Posture « Compliance »

Comme son nom l’indique, elle est poussée par le besoin de conformité imposée sur le mar-ché où agit l’entreprise. La posture de risk management orientée « Compliance » répond à une demande de conformité sur des marchés fortement réglementés comme par exemple les marchés bancaires et assurantiels (Solvency II, Bâle III). Le risk management est alors concentré sur un livrable normatif, qui a pour but de rassurer sur la capacité de la méthode à jouer son rôle de garde-fou et de détection de niveau des risques, dans un univers défini, souvent appelé référentiel de risques. La limite de la posture est relative à son éloignement de la réalité du business.

12

De ce fait, sur le terrain, le risk management est parfois perçu comme un « reporting » supplémentaire. L’étude révèle que les risques émergents sont plus difficilement détectables dans la posture « Compliance ».

Le risk management agit comme un gestionnaire, avec une logique comptable d’un référentiel de risques, qu’il fera évoluer au rythme des campagnes d’identification et de valorisation des impacts bruts et nets.

Les risk managers de cette catégorie que nous avons rencontrés, étaient conscients de la complexité, pour le management opérationnel, d’appliquer « à la lettre » une méthodologie lourde considérée comme une perte de temps puisqu’elle n’est pas destinée à servir directement le business mais les organes de gouvernance.

Dans cette catégorie, le risk management peut avoir accès aux organes de gouvernance comme par exemple le Comité d’Audit et des Comptes. La cartographie des risques est alors un livrable officiel, présenté au Conseil d’Administration, même si les administrateurs ont davantage intérêt à s’assurer de l’efficacité de la méthode, qu’au le contenu du livrable lui-même. La ligne hiérarchique du risk management est située dans l’environnement d’un Secrétariat Général ou d’une Direction Juridique.

Portrait-robot du risk manager « Compliance »

Missions

• Fournir de manière régulière l’assurance raisonnable sur l’efficacité de la méthode d’identification des risques principaux de l’entreprise

• Présenter annuellement une évaluation des risques principaux et de leur degré de maîtrise auprès des instances de gouvernance

Savoir-être

• Rigoureux, méthodique• Respectueux des procédures• Neutre• Intègre• Indépendant• Autonome

Savoir-faire

• Livrable adapté aux besoins de la gouvernance• Travail sur des référentiels de risques catégorisant l’univers

de risques• Quantification, agrégation des risques au niveau macro• Création d’un réseau de correspondants capables de

remonter les informations• Approche juridique et sociale du risque permettant l’analyse

des risques éthiques et de réputation

Outil• Outil structurant permettant la revue annuelle des risques

et de leur quantification de manière homogène pour toute l’entreprise

Figure 4. Portrait-robot du risk manager « Compliance »

1313

Instances décisionnelles

Comité de direction, Direction générale,

Comité d’engagement, Comité stratégique…

Management de proximitéPropriétaires de risques

Instances de gouvernance

Conseil d’administration, Conseil de surveillance, Comité

d’audit et des comptes, Comité d’éthique

Fonctions de contrôleComité interne, audit,

santé-sécurité

Fonctions supportsFinance, Achats, RH, SI, Communication, RSE…

Assurances

Compliance

Légende :

Principal client interne des travaux du risk management

Travaux réguliers en collaboration

sens de la flèche = sens de la communication

Figure 5. Interactions du risk manager « Compliance »

1414

2.1.2. La posture « Stratégie et projets »

La posture que nous appelons « Stratégie et projets », est celle qui est demandée par les entreprises dont le besoin de vision stratégique est situé à long terme. Dans ce type d’entreprises, les décisions sont structurelles et vont l’engager sur un espace-temps qui rend la correction compliquée voire impossible. Les risques du quotidien de type sécurité, santé, environnement, sont traités dans l’organisation, et souvent regroupés dans un département « Qualité ». Dans cette posture, le risk management est impliqué dans les grands projets. Il participe à la vision stratégique de l’entreprise et poursuit l’analyse jusqu’à identifier les opportunités de développement et de ce fait provoque les réflexions sur l’appétence aux risques en fonction de la rentabilité recherchée. Il gère un portefeuille de risques dont il assure l’équilibre en fonction de l’appétit au risque de l’entreprise. La ligne hiérarchique du risk management est dans l’environnement d’une Direction Générale Déléguée Stratégie / Finance.

Portrait-robot du risk manager « Stratégie et projets »

Missions

• Apporter régulièrement une vision des risques et opportunités sur le long terme et sur les projets d’envergure

• Donner son avis sur la prise en compte des risques dans les projets, y compris donner l’alerte pouvant conduire à l’abandon du projet

• Proposer d’augmenter la prise de risque pour en augmenter la rémunération au regard de l’appétit au risque et résilience au risque de l’entreprise

Savoir-être

• Forte ouverture sur le monde externe• Capacité de prise de recul par rapport au business et de

structurer une vision stratégique• Recherche de la performance• Capacité à gérer le relationnel de haut niveau• Créativité

Savoir-faire

• Connaissance très pointue du marché de l’entreprise• Analyse de l’appétence au risque et de la rémunération

associée• Création et gestion d’un portefeuille de risques• Challenge des analyses de risque produites par les équipes

de développement projet• Mise en place et alimentation d’une veille stratégique sur

les risques• Analyse des risques émergents• Travail sur les scénarios extrêmes

Outil

• Outil structurant du suivi des risques projets permettant la gestion de l’équilibre du portefeuille de risques et la recommandation de décisions de GO / NO GO pour les investissements et désinvestissements

Figure 6. Portrait-robot du risk manager « Stratégie et projets »

1515









santé-sécurité

Fonctions supportsFinance, Achats, RH, SI,

Communication, RSEAssurances

Stratégie et projets

2.1.3. La posture « Business partner »

La posture « Business partner » est généralement imposée par le besoin de proximité immédiate avec le terrain. Ce besoin s’exprime souvent dans le cadre d’un marché en mutation ou d’entreprises ayant eu à se confronter à un changement de business modèle. Dans cette posture, le risk management fait un travail de terrain reconnu pour son efficacité et son utilité aux opérationnels que nous avons qualifié de « Business partner ». Nous pouvons affirmer que ce comportement était présent dans les entreprises où la maturité du risk management est d’un niveau élevé, 4 ou 5 sur l’échelle de maturité (cf supra).

La posture orientée « Business partner » se retrouve dans les entreprises dont le marché subit de fortes ruptures. Les chocs internes provoqués par les changements structurels nécessaires à l’adaptation au marché, imposent en priorité d’accompagner les responsables décisionnels sur le terrain à l’utilisation d’un risk management simple, « facilitateur » de business. La souplesse que cette posture implique va jusqu’à la capacité à adapter la méthode pour la rendre plus facile d’accès.

Légende :



Peu ou absence de travaux en collaboration


Figure 7. Interactions du risk manager « Stratégie et projets »

1616

C’est là, par exemple, que nous avons pu constater l’abandon de notions complexes comme le « risque brut » et le « risque net » ou encore l’abandon de méthodologie de chiffrage compliquée pour passer à une évaluation sur une échelle rapide de un à cinq, comprise de tous sur le terrain.

Dans cette orientation, une attention particulière est portée à conserver une dose de « Compliance » au niveau de la tête d’entreprise ou « Corporate ». Cette attention particulière permet d’être capable d’alerter suffisamment tôt le plus haut niveau, en cas de transgression réglementaire prétextée par le syndrome du « Business first ». La ligne hiérarchique du risk management est située dans l’environnement d’une Direction Générale fortement délégataire vers une organisation plate en Business-Unit par exemple.

Portrait-robot du risk manager « Business partner »

Missions

• Accompagner le management de proximité dans sa gestion de la prise de risque : appui dans l’identification, évaluation, conception du plan d’actions et préparation de la présentation de la cartographie par le propriétaire de risque devant le top management

• Obtenir régulièrement une cartographie des risques de chaque business incluant l’état du plan d’actions

• Diffuser la culture du risque aux opérationnels• Rappeler constamment aux porteurs de business de

traduire leurs plans d’actions de mitigation des risques en arguments commerciaux auprès de leurs clients (exigence de sécurité, qualité et fiabilité des processus et opérations)

Savoir-être

• Empathie envers les propriétaires de risques• Capacité à engager un dialogue managérial et être

« challenging » sur les risques et les plans d’actions• Pédagogie, persévérance• Souplesse, adaptabilité, agilité• Reconnu pour son expérience opérationnelle,• Proximité du terrain, mobilité, dynamisme• Sait ne pas se substituer au propriétaire de risque dans sa

gestion quotidienne des risques

Savoir-faire

• Maîtrise de la méthodologie du risk management• Forme et responsabilise le management sur la gestion des

risques au quotidien• Négociation pour inscrire au budget les coûts correspondant

à la mise en œuvre des plans d’actions• Assistance à la mise en œuvre des plans d’actions et suivi

des plans d’actions• Cherche et croise les informations identifiées par les

fonctions supports et le management• Formations, diffusion d’une culture de risque• Simplification et adaptation de la méthode aux besoins du

business pour que les opérationnels se l’approprient

Outil

• Outil souple et non structurant de type Excel actualisé très régulièrement

• Outil de communication bottom-up pour dialoguer et challenger le management sur les risques

Figure 8. Portrait-robot du « Business partner »

17









santé-sécurité

Fonctions supportsFinance, Achats, RH, SI,

Communication, RSEAssurances

Businesspartner

Légende :




Figure 9. Interactions du risk manager « Business partner »

1818

2.2. Ces trois postures répondent à des besoins qui s’expriment différemment selon la culture des entreprises et le marché sur lequel elles opèrent.

En lecture globale, les trois postures peuvent être positionnées comme les trois pôles d’un triangle équilatéral :

Il faut comprendre que dans la réalité du terrain, les postures ne sont pas parfaitement « tranchées » et correspondent à des orientations plus ou moins fortes dans le dosage des composants.

2.2.1. Un outil de gouvernance

Une entreprise peut avoir une orientation de risk management dominante en « Compliance » avec une tendance vers la posture stratégie et projet. De ce fait, le risk management dans cette entreprise sera utilisé en outil de la gouvernance.

Figure 10. Trois postures du risk management

Business partner

Stratégie et Projets


Compliance

Compliance

Figure 11. Risk management outil de gouvernance

Outil de Gouvernance

Entrepriserisk management


19



2.2.2. Un outil de gestion

Si l’entreprise est orientée vers l’opérationnalité terrain, tout en conservant un besoin de gouvernance, le risk management sera compris comme un outil de gestion.

2.2.3. Un outil de performance

Lorsque le besoin dominant de l’entreprise est orienté vers les projets stratégiques avec une recherche d’optimisation de réalisation sur le terrain, le risk management sera identifié comme un outil de la performance.



Figure 12. Risk management outil de gestion

Business partner

Business partner

Compliance

Compliance

Out

il de

Ges

tion

Figure 13. Risk management outil de performance

Outil de P

erformance

20

Les dosages sont subtils et peuvent s’inverser.

Après avoir tenté de dégager la posture dominante idéale, il est apparu qu’une hiérarchisation des postures ne pouvait être établie. Le critère pertinent concernant l’efficacité du risk management est son adaptation au besoin culturel de l’entreprise liée à son historique sur son marché. Par exemple, la posture orientée « Business partner » se retrouve dans les entreprises dont le marché subit de fortes ruptures, ce qui semble être un fonctionnement plus particulièrement adapté au besoin d’agilité terrain, face au changement contextuel.

Figure 14. Différentes postures répondant à des besoins différents selon les entreprises

Business partner

Compliance Stratégie et Projets

Out

il de

Ges

tion

Outil de Gouvernance

Outil de P

erformance


21

3. En matière de projets, de risques pays : définition de limites de risques

3.1. Définition des limites de risques

Comme défini dans l’échelle de maturité du risk management, seules les entreprises de maturité 4 ou 5 sont en mesure de gérer valablement, de façon crédible, des limites de risques, avec des critères spécifiques aux business de chacun qui ne nous ont pas été délivrés pour des raisons de confidentialité.

Dans les démonstrations précédentes (du triangle des postures), c’est dans la posture « Stratégie et projets » que la notion de « risk appetite » est fréquemment travaillée, lié au fait que ce sujet est le plus souvent traité au niveau des Directions Stratégie Corporate, voire Direction Générale.

Nous avons pu identifier une volonté de rechercher le « risque zéro », concernant les risques « accidents humains ou atteinte aux personnes », dans pratiquement toutes les entreprises rencontrées. Cette position en induit une autre sur le risque pays : travailler dans une zone à risques pour les personnels, est soit totalement refusé, soit systématiquement encadré par des procédures strictes, soit assisté par des entreprises spécialisées qui ont la capacité et les informations nécessaires à l’appréciation quotidienne du risque pays. Les critères sous-jacents sont le plus souvent financiers, dans le sens où la crainte correspond à une perte d’investissement à la suite, par exemple d’une « nationalisation sauvage ».

Les entreprises dont la posture est orientée « Compliance », sont souvent poussées par les organes de gouvernance à être vigilantes sur les risques de réputation ou d’image. Nous avons pu constater que les administrateurs avaient une sensibilité particulière en « risk adverse » sur ces domaines. Le risk management est d’ailleurs considéré par les instances de gouvernance, comme l’outil interne quasi unique, permettant de donner une assurance raisonnable sur l’identification et le traitement des risques de réputation, le contrôle interne n’allant pas au-delà de l’évaluation du respect des principes de base.

En fait de limite ou « d’appétit » au risque, ce que nous avons pu identifier est plus lié aux moyens financiers de l’entreprise qu’à une réelle réflexion de fond.

Si le risk management est rarement impliqué dans le cycle budgétaire, ses travaux sont parfois utilisés dans le plan d’affaires. Le seul invariant d’un risk management efficace, est la vision financière qu’il doit avoir pour faire la liaison entre le coût des plans d’actions et la capacité budgétaire à les réaliser. C’est là que vont se trouver les véritables « limites », ou que l’on va parfois se découvrir un appétit pour un risque, parce que l’on a peu ou pas du tout les moyens financiers d’en assurer sa couverture industrielle ou assurantielle, une forme d’acceptation du risque par défaut.

Figure 15. L’approche du budget selon les trois postures de risk management

Compliance Le besoin de réduction d’un risque va provoquer la mise en place d’une allocation budgétaire prioritaire, imposée par la nécessité de conformité qui n’est pas discutable.

Stratégie et projets Le coût de réduction d’un risque (ou la variable coût/rémunération) est embarqué dans le calcul du «business plan» du projet ou du « business model » du développement stratégique.

Business partner

Le coût du plan d’actions est absorbé par les business units propriétaires des risques. C’est dans cette conformité que le risk management doit s’impliquer dans l’excercice budgétaire de la Business unit pour imposer la prise en compte du coût de réduction du risque, induit dans les plans d’actions.

22

3.2. Le risk management et les grands projets

Le sondage indique qu’il y a encore trop peu de participation du risk management dans les projets de l’entreprise. 75% des répondants ne font aucune analyse sur les projets de leur entreprise. Toutefois, lors des entretiens de benchmark, il est apparu assez clairement que l’implication du risk management dans les risques des grands projets de l’entreprise, était un élément charnière vers une maturité aboutie. Dans la plupart des cas, la participation du risk management dans le suivi des projets démontre une prise de conscience du management de l’utilité du risk management dans l’analyse prévisionnelle préparatoire à la décision. Dans ce cas, il participe voire anime le Comité d’Engagement.

Nous avons même rencontré certaines entreprises, orientées « Stratégie et projets », qui réalisaient deux exercices cartographiques sur les projets, l’une sur les risques intrinsèques aux projets (délais, compétences, ...), l’autre sur les risques d’un point de vue investisseur (fonds propres nécessaires, financements externes, partenariats,…).

Pour se permettre un tel déploiement, la méthodologie est largement simplifiée sur 3 axes, intensité : estimée de l’impact de 1 à 5, capacité estimée de maîtrise de 1 à 5, vraisemblance de survenance (plus que probabilité) estimée de 1 à 5. Le débat sur les indices de chaque axe suffit au comité d’engagement pour s’aligner sur des décisions fortes et immédiates.

Il y a une tendance à recourir au risk manager en tant que « consultant interne » à la disposition des responsables de projets. Il s’agit donc d’une forme d’implication à la demande, qui est la confirmation d’un travail de confiance sur la durée et de crédibilisation du risk management en interne.

D’ailleurs, lorsque le risk manager participe au suivi des projets, il y exerce un devoir d’alerte systématique qui va pour 42% des répondants, jusqu’à l’arrêt du projet si nécessaire. Cela confirme encore une fois l’idée que le risk manager réalise là un travail de terrain reconnu dans son efficacité et utilité pour les opérationnels, qui mérite la qualification de « Business partner ».

23

4. Apprécier les modalités de participation du risk management à la définition et à l’analyse de scénarios extrêmes

La création et l’analyse des scénarios extrêmes demandent une vision globale de l’activité de l’entreprise. Cette prise de hauteur nécessaire, implique un éloignement du terrain et impose de travailler au niveau des instances décisionnelles groupe ou corporate. C’est ce que nous avons pu observer dans les entreprises qui pratiquaient cet exercice. D’autant plus que l’une des personnes interviewées nous a apporté une notion un peu oubliée : l’incertitude. Le contrôle interne et le risk management s’inscrivent dans ce que l’on peut appeler l’identification et la gestion des risques « imaginables ». Il reste à gérer l’incertitude, c’est-à-dire en fait, les risques qui ne seront pas identifiés dans une cartographie parce qu’ils ne sont pas imaginables. Pour Frank Knight1 le risque désigne « une situation où les possibilités de l’avenir sont connues et probabilisables. Par opposition, l’incertitude désigne une situation où l’on ignore tout cela ». Selon le concepteur de la théorie du risque, l’incertitude correspond aux choix politiques successifs de l’entreprise et où la possibilité d’une erreur est importante car aucune assurance ne pourra compenser les éventuelles pertes résultant des choix politiques de l’entreprise. Cette approche est reprise par les travaux de Nicholas Taleb qui datent de 2007. Il enseigne les rapports entre l’épistémologie et les sciences de l’incertitude (c’est le nom officiel) à l’Institut Polytechnique de New York. Il développe ses idées dans son livre « Le cygne noir », sous-titre : la puissance de l’imprévisible.

Par destination, l’incertitude détient une part d’inconnu. En fait, il s’agit de travailler sur des évènements qui n’ont pas de raison logique de se produire dans le contexte où l’on se trouve, mais que des éléments inconnus au moment où l’on se place, peuvent faire apparaître. Bref, il y a des inconnus dans l’incertitude.

Extraits : « Qu’a-t-on appris du 11 septembre ? Que eu égard à leur dynamique, certains événements se situent nettement en dehors du domaine du prévisible ? Nullement. ……Il importe de prendre des mesures concrètes………….l’histoire de la ligne Maginot nous montre que nous sommes conditionnés pour le particulier (un accident = une réponse spécifique)……..Le problème réside dans notre structure mentale : nous n’apprenons pas les règles mais seulement et uniquement les faits. Nous ne semblons pas très doués pour assimiler les métarègles…….. Nous méprisons l’abstrait ; nous le méprisons passionnément. »

L’auteur explique que notre vision périphérique des problèmes et la réponse concrète que nous y apportons nous a bien souvent sauvé la vie. Elle n’est donc pas à rejeter. Ce qu’il souhaite démontrer c’est que cette réponse nous satisfait et de ce fait, stoppe notre réflexion, alors qu’elle est insuffisante. On se contente de la rationalité des faits.

Nous avons rencontré une entreprise confrontée à une violente attaque de la concurrence. Hors cette entreprise avait travaillé longuement sur un scénario extrême, plusieurs années avant mais ce scénario n’a finalement pas été retenu à cause de son irrationalité économique. Pourtant, c’est précisément en jouant ce scénario que la concurrence a retourné le marché.

Appliquée aux scénarios extrêmes, le degré d’incertitude est tel qu’il ne s’agit pas d’analyser un scénario de risque, mais de préparer un scénario de gestion de crise applicable à plusieurs évènements extrêmes. L’idée est de monter un scénario des conséquences extrêmes plus que de remonter au risque lui-même. Les conséquences étant applicables à une multiplicité d’incertitudes pour en tirer un plan de réponses et de décisions pré-identifiées.

Autrement dit, quand, par exemple, les organes vitaux de l’entreprise sont attaqués, quelques soient ces organes vitaux, cela induit des conséquences (par exemple : besoin de relocaliser les collaborateurs), quelles sont alors les décisions du top management (délégation de pouvoir au terrain ou centralisation de la décision).

1 Frank Knight : «Risk, uncertainty and profit»- 1921.

24

Afin d’illustrer cette notion, le char Leclerc se révèle être un bon exemple de gestion de l’incertitude par l’Etat-Major Général des Armées.

Le char Leclerc a été prédisposé en deux modes de fonctionnements :

• Temps de paix : en cas d’anomalie, le char s’arrête automatiquement. Le processus est normalisé, le conducteur du char n’a pas le contrôle de toutes les commandes du char. Il ne peut pas le redémarrer, il doit obligatoirement en référer à son autorité.

Gestion du risque probabilisable par le top management.

• Temps de guerre : le conducteur a totale autorité et accès aux commandes de contrôle de son char. Il est en autonomie.

�Gestion de l’incertitude par le top management la décision est incluse dans la conception du char.

Deuxième illustration :

• Lors de l’installation en milieu hospitalier, d’un système nouveau de pompes à insuline dans les chambres de patients, il y avait un choix à faire sur le blocage ou non des machines en cas panne du système central. La décision fut de ne pas bloquer les machines en cas de panne du central. En cela, le management décisionnel a opté pour une gestion de l’incertitude, plutôt qu’une gestion du risque.

• Un an après, une partie des machines sont tombées en panne, ce qui aurait logiquement provoqué un arrêt total de la distribution d’insuline. Le paramétrage étant resté ouvert, les techniciens ont pu réparer à la volée. Les patients n’ont à aucun moment été privé d’insuline et la gestion manuelle du médicament a été parfaitement respectée.

• La décision du management va, dans ce cas, à l’encontre des paramétrages anti-incertitude requérant la mise en place de procédures strictes. Une forme d’antithèse du principe de précaution. L’alternative du management s’exprime en ces termes : veut-on que les opérationnels suivent des procédures ou prennent des initiatives ?

Le travail sur la gestion de l’incertitude n’est possible qu’au plus haut niveau dans l’entreprise. Il est le fait d’un comité de direction. Pour réaliser ce travail, l’organisation doit permettre une proximité de fonctionnement du risk management avec les instances décisionnelles.

25

5. Identifier les meilleures pratiques en matière de gouvernance et leadership de la filière risk management

Pour chacune des entreprises que nous avons rencontrées, les bonnes pratiques étaient liées à la recherche d’un équilibre entre les trois composantes de façon à palier un manque plus ou moins identifié.

Par exemple, nous avons rencontré une entreprise orientée « Business partner » qui détenait une bonne pratique en ayant mis en place un processus d’alerte directe au DG en cas de déviance grave de conformité réglementaire sur le terrain.

Une autre, orientée « Compliance » dont le risk manager proposait son assistance à l’évaluation des risques auprès des opérationnels, lors de chaque campagne cartographique.

Une autre enfin, orientée « Stratégie et projets » qui faisait présenter à chaque comité d’audit, organe de gouvernance par destination, un grand risque de l’entreprise par le propriétaire du risque lui-même.

Si nous positionnons un poids qualitatif de 1 à 5 sur chacun des segments du triangle gestion, gouvernance, performance, le RM parfait, qui disposerait de la totalité des qualités dans chacun des domaines, serait représenté par le schéma suivant :

Figure 16. Equilibre complet du risk management

1

Ges

tion

5

1 P

erforman

ce 5

1 Gouvernance 5

5

5

5

Le profil d’équilibre parfait n’existe pas dans les faits. Il apparaît aujourd’hui inapproprié à mettre en place, parce qu’il ne correspond à aucun besoin, ni aucune culture d’entreprise. Ce serait en fait, comme faire exercer une « sur-qualité » couteuse au risk management par rapport à la réponse spécifique au besoin exprimé par l’entreprise.

26

Nous avons pu identifier la structure la plus répandue, le risk management demeure peu développé sur les trois axes et particulièrement faible sur l’axe de recherche de la performance.

Figure 17. Structure de risk management majoritaire

1

Ges

tion

5

1 P

erforman

ce 5

1 Gouvernance 5

32

3

Une tendance certaine a été identifiée dans plusieurs entreprises où la position « Gestion » est prédominante avec une orientation forte sur la posture « Business partner » ouvrant un axe de travail vers la performance.

Figure 18. Tendance à l’orientation vers le « Business partner »

1

Ges

tion

5

1 P

erforman

ce 5

1 Gouvernance 5

53

2

27

La forme la plus poussée du risk management que nous avons pu observer, est une position où le risk management exploite son leadership sur les problématiques de risques et opportunités à tous les niveaux de l’entreprise. Graphiquement, on observe un triangle isocèle caractérisant un fort développement sur les axes gestion et performance avec un maintien du niveau de positionnement sur l’axe de la gouvernance.

Figure 19. Forme actuelle la plus aboutie de risk management

1

Ges

tion

5

1 P

erforman

ce 5

1 Gouvernance 5

4 4

3

28

6. Faire évoluer la fonction risk management

6.1. De quoi le risk management, dans une entreprise donnée, a-t-il besoin pour gagner davantage d’une autre posture ?

La matrice ci-dessous permet d’aider tout risk manager à mettre en œuvre des évolutions incrémentales afin de renforcer certains aspects du risk management non développés au sein d’une entreprise.

Figure 20. Matrice des besoins pour faire évoluer une posture de risk management

Je veux développer l’aspect

Compliance Stratégie et

projetsBusiness partner

Aujo

urd

’hui, je

suis

Business partner

• Indépendance• Respect des

procédures• Prise en compte

des besoins de la gouvernance

• Capacité d’alerte aux instances de gouvernance

• Vision juridique et sociétale des risques

• Analyse des projets

• Vision plus long terme

• Prise de recul• Dialogue plus

important avec le management décisionnel

• Implication sur les plans stratégiques, plans d’affaires


• Méthodologie• Neutralité• Approche

juridique et sociétale des risques éthiques et de réputation

• Déléguer au terrain

• Ecouter le terrain• Accompagner les

propriétaires de risques

Compliance

• Vision long terme

• Prise de recul• Dialogue plus

important avec le management décisionnel

• Participation au Comité stratégique

• Souplesse • Présence terrain• Responsabiliser

les managers terrains

• Présentation régulière d’un risque par son propriétaire au Comité d’audit et des comptes

29

La matrice ci-dessous permet d’aider tout risk manager à mettre en œuvre des changements organisationnels afin de faire évoluer fortement une forme de risk management existante vers une forme jugée comme mieux à même de répondre aux besoins d’une entreprise donnée.

Figure 21. Matrice changement organisationnel

Je veux être, j’ai besoin de

ComplianceStratégie et

projetsBusiness partner

Aujo

urd

’hui, je

suis

Business partner

• risk manager présent aux organes de gouvernance type Comité d’audit

• RM dépend du Secrétariat général qui a dans son périmètre la Direction Stratégie


• RM au Secrétariat Général ou Direction du Contrôle Interne et de l’Audit Interne

• Organisation bicéphale : continuité de la présence sur les instances décisionnelles, prise en compte du reporting des managers terrains

Compliance

• RM dépend du Secrétariat général qui a dans son périmètre la Direction Stratégie / Finance

• RM dans l’environnement des assurances

• S’ouvrir aux projets et met en place une organisation proche du terrain

Conclusion

Une des constats de cette étude est que le positionnement du risk management est divers selon les entreprises ce qui se justifie par des besoins différents pour s’adapter continuellement à leur marché. Il nous est apparu qu’il n’était pas pertinent de proposer d’appliquer une forme optimisée de risk management standard pour toutes les entreprises. Chaque entreprise ayant ses particularités, un risk management efficace se caractérise par son adaptation adéquate à la culture et problématique de l’entreprise.

Nous avons toutefois noté avec une recherche de simplification méthodologique, une évolution forte vers la posture « Business partner » et une volonté de développer l’axe performance qui implique d’une part, que le risk manager s’ouvre à l’extérieur et d’autre part, soit embarqué dans le processus de réflexion stratégique. Ce glissement permettra d’évoluer de la seule prévention des risques opérationnels vers une maitrise des risques liés au business model afin de mieux anticiper les ruptures. Ce glissement est souhaitable pour permettre au risk manager d’animer le débat sur le traitement des incertitudes au plus haut niveau de l’entreprise.

30

Annexe 1 : Analyse sémantique des interviews

Le compte-rendu précis questionnaire des entretiens individuels nous a permis d’analyser les mots employés par les personnes interviewées.

Figure 22. Mots employés les plus fréquemment lors des entretiens

Business : Ce mot confirme la tendance vers un risk manager « Business partner » au détriment d’un risk management « Compliance », terme qui a été beaucoup moins mentionné.

Gestion, incertitude et opportunités : Ces termes révèlent la nécessité du risk manager à ne pas se laisser absorber uniquement par les risques opérationnels et à monter à un niveau d’analyse stratégique.

Cartographie : de façon très étonnante, le terme « cartographie » a été moins employé que le terme business. Il s’agit sans doute d’un signal faible révélant encore une fois, le glissement d’un risk management « Compliance » vers un risk management « Business partner ».

Etre : La vision du métier et de son utilité que peut avoir le management décisionnel et le management opérationnel dépend fortement du savoir-être du risk manager. Son comportement est essentiel pour imposer sa fonction et passer les messages de manière crédible.

Projet et décision : Nous avons constaté durant nos entretiens un réel souhait du risk manager d’être davantage impliqué dans le processus décisionnel stratégique de l’entreprise.

Annexe 2 : Introduction aux résultats du questionnaire

A la suite de notre étonnement devant le nombre assez faible des réponses, nous avons pu constater qu’un grand nombre des répondants ayant ouvert le questionnaire l’ont rapidement quitté sans l’avoir terminé après avoir compris que leurs prérogatives étaient très limitées par rapport aux questions posées. Nous pouvons en conclure qu’une grande partie des entreprises pratiquent, aujourd’hui, un risk management limité aux risques opérationnels / industriels.

Les risk managers ayant complété le questionnaire correspondent à une population qui a une pratique développée du risk management. C’est pourquoi il est difficile de tirer de ce questionnaire une règle ou une moyenne globalisante.

31

Annexe 3 : Résultats du questionnaire et commentaires par item

Q1 : Quel est le secteur d’activité de votre entreprise ?

Légende :

Assurance

Consommation et distribution

Energie et ressources

Immobilier et construction

Industrie

Santé et sciences de la vie

Services

Services financiers

Technologie Média et Télécoms

Transport et industrie aéronautique

Autre

Q2 : Dans quelle(s) région(s) du monde votre entreprise opère-t-elle ?

France42%

Europe26%

International62%

20,5%

15,4%

12,7%7,7%

7,7%

2,6%

2,6%

2,6%

7,7%

20,5%

Q3 : Votre société est-elle cotée ?

Oui49%

Non51%

Q4 : Quelle est la taille de votre entreprise ? (classification INSEE)

Q5 : Qui est le commanditaire de la fonction risk management ?

Le comitéd’audit

19%

La direction générale81%

64,1%30,8%

5,1%

Le commanditaire du risk management est très fortement dans l’environnement décisionnel et exécutif. Cette réponse n’est en fait pas très clivante. La direction générale dans de nombreux cas peut soutenir le risk management pour des raisons de gouvernance notamment dans les sociétés cotées. C’est ce qui nous a été confirmé lors des entretiens.

Légende :

ETI - CA = - de 1,5 MDS €

PME/PMI :- CA = - de 50 millions €

Grande entreprise - CA = + 1, 5 MDS €

32

33

Q6 : Quel est le rapport de la fonction risk management avec les instances de direction ?

Une proportion fortement majoritaire des risk managers sont en contact direct avec les organes décisionnels.

Q7 : Récemment, quels sont les rôles sur lesquels votre commanditaire vous a demandé d’évoluer ou de progresser ?

La cartographie des risques groupe et risques majeurs 66,7%

L'identification, l'évaluation et la quantification des risques 53,8%

Le pilotage des plans d'action de mitigation des risques 43,6%

La gestion de crise 30,8%

La définition du niveau d'appétence aux risques 23,1%

L'élaboration de scénarios extrêmes 17,9%

La participation à la prise de décision stratégique (par exemple, GO/NO GO de projet, décision d'investissement,...) 15,4%

Autre 10,3%

Pas de demande particulière 7,7%

Ce qu’il est important de comprendre sur cette réponse, c’est que la cartographie demeure un sujet de développement. Cela est vraisemblablement dû à une forte demande de simplification pour permettre une lecture plus aisée. En deuxième position, on observe des demandes de simplification de la quantification en vue de simplifier. Enfin, il est demandé à certains risk managers de s’impliquer davantage dans les plans d’action.

Légende :

Contact direct : vous pouvez les contacter directement et librement en cas de besoin

Contact indirect : vous pouvez contacter uniquement via un intermédiaire (via votre supérieur hiérarchique par exemple) et/ou à des dates fixées

Absence totale de contact : vous ne pouvez jamais les contacter

71,8%28,2%

34

Q8/Q9 : Quels sont les rôles que vos instances de direction attribuent à l’ERM ? Cocher au moins une case par ligne. (Ces schémas retracent la totalité des réponses. Plusieurs réponses possibles)

L’analyse des tableaux ci-dessus nous a permis de concevoir l’échelle de maturité présentée au début du rapport.

Contribue à l’identification et l’évaluation des risques

Contribue à la communication vers les marchés

Donne une assurance sur l’efficacité du sytème ERM mis en place

Est force de proposition et peut influencer la stratégie globale de l’entreprise

70%

60%

50%

40%

30%

20%

10%

0%

Est impliqué dans la prise de décision

Définit un niveau d’appétence au risque et fixe des limites des risques

A un rôle dans les transferts et assurances des risques

Est garant de la méthode d’analyse des risques

Pilote et réalise des lookbacks sur l’efficacité des plans d’action

Met en œuvre les plans d’action et participe à la gestion de crise

Contribue à l’identification et l’évaluation des risques 62,1%

Meilleu

res pratiq

ues

observées

Donne une assurance sur l’efficacité du système ERM mis en place 35%

Est garant de la méthode d’analyse des risques 33%

A un rôle dans les transferts et assurances des risques 29,9%

Met en œuvre les plans d’action et participe à la gestion de crise 24,1%

Pilote et réalise des lookbacks sur l’efficacité des plans d’action 18,6%

Contribue à la communication vers les marchés 18,4%

Est force de proposition et peut influencer la stratégie globale de l’entreprise 14,1%

Est impliqué dans la prise de décision 11,5%

Définit un niveau d’appétence au risque et fixe des limites des risques 9,9%

Meilleures pratiques observées

35

Q10 : L’ERM participe-t-il à l’élaboration de :

60%

50%

40%

30%

20%

10%

0%

La phase stratégiquedu plan d’affaires à

moyen terme (3-6 ans)

La phase financièredu plan d’affaires à

moyen terme (3-6 ans)

Du cycle budgétaire annuel

Aucune des trois

La grande majorité des risk managers ne se positionne pas sur un risk management « Stratégie et projets » ce qui a été confirmé par les entretiens individuels.

Q11 : Si oui

90%

80%

70%

60%

50%

40%

30%

20%

10%

0%

Les options sont élaborées en tenant en compte de l’analyse des risques

réalisée par l’ERM

En fin de processus, l’ERM réévalue les risques au

regard des options prises

Quand les répondants participent à l’une des phases (stratégique, financière, budgétaire), seuls 46 % réévaluent les risques au regard des options prises.

36

Q12 : Définissez-vous la rémunération supplémentaire exigée par votre entreprise pour prendre davantage de risques ?

Ex : A et B sont deux projets examinés par l’entreprise nécessitant le même niveau de CAPEX. L’entreprise ne peut investir que dans un seul des deux projets. Le projet B rapporte 4 % de plus que le projet A pour une prise de risque 10% plus élevée que le projet A. Selon la définition de son appétence au risque, l’entreprise choisira le projet A ou B.

Intervenez-vous dans la définition des critères d’appétence au risque ?

Q13 : Si oui, par quel type de méthode évaluez-vous l’appétence au risque ?

80%

70%

60%

50%

40%

30%

20%

10%

0%

WACC+ X% Autre (veuillez préciser)

Limites d’exposition

Exclusions de métiers / produits / pays…

Approche par scénario

70 % des personnes ayant répondu oui à la question précédente, approchent le risque par scénario et développent faiblement l’analyse de l’appétence au risque par les limites d’expositions et le taux de rentabilité minimum exigé.

40% des répondants analysent les risques projets et semblent définir des critères d’appétence au risque ce qui n’a pas été confirmé par les entretiens individuels.

Oui40%

Non60%

37

Q14 : Quelles limites voyez-vous aux méthodes de quantification ?

Les risk managers considèrent que la quantification basée sur les scénarios n’est pas fiable pour permettre de fixer la limite et l’appétit au risque. La quantification n’est pas suffisamment fiable car elle est trop dépendante des hypothèses. Ce point milite en faveur d’une simplification de la quantification qui n’a pour raison d’être que de donner un poids représentatif au risque et pas une valeur dont l’exactitude est facile à remettre en cause avec un simple changement de paramètre.

Q15 : Emettez-vous des avertissements/doutes au regard de ces évaluations ?

Oui48%

Non52%

Q16 : Êtes-vous partie prenante de la définition du niveau de couverture du risque ?

Couverture industrielle

42%

Couverture assurantielle

68%

Couverture financière

28%

68 % des répondants participent à la définition du niveau de couverture assurantielle du risque, en revanche, nous observons le peu de participation sur la couverture financière du risque. Ce qui conforte l’impression d’une gestion des risques traditionnelle et peu créative.

40 % des répondants ne se sentent pas entièrement à l’aise avec les modes d’évaluations quantitatifs utilisés. Nous avons pu noter que ceux qui sont à l’aise dans leurs évaluations sont ceux qui ont optés pour des modes évaluatifs simplifiés sans prise en compte de calculs financiers. Ce qui ne les empêche pas de réaliser un calcul financier des plans d’actions.

38

Q17 : Analysez-vous l’impact d’un projet sur le « business model » du Groupe (diversification/concentration du portefeuille d’actifs/produits de l’entreprise) ?

Oui24%

Non76%

Q18 : Avez-vous une grille formelle de critères aidant à prendre des décisions de type GO / NO GO ?

Oui32%

Non68%

Cette réponse met en exergue le fait que les risk managers d’aujourd’hui sont faiblement orientés « Stratégie et projets ». Ce que nous avons pu constater lors des entretiens.

Cette réponse confirme la réponse précédente : très peu de risk managers sont présents sur des actions de GO / NO GO.

39

Q19 : Votre entreprise a-t-elle défini des limites ou des risques par principe non acceptables (suppression / évitement du risque) ?

Oui61%

Non39%

Q20 : Si oui, lesquels ?

En matière de sécurité 90%

En matière d’éthique 80%

En matière de risques pays (pays refusés par principe) 60%

En matière de RSE 50%

En matière de réputation 50%

Autre (veuillez préciser) 30%

En matière de catastrophes naturelles / risques environnementaux

25%

Cette réponse vient préciser que la sécurité des personnes est primordiale, ce que l’on retrouve également en matière d’éthique. Il faut comprendre que, dans ces cas précis, la limite est rapidement fixée à 0. En d’autres termes, on sait mettre une limite en place parce qu’elle est binaire et rarement quand elle fait appel à un chiffrage de coût que l’on ne veut pas dépasser.

Les limites définies à ce niveau de réponse sont le plus souvent liées aux risques humains qui demeurent inacceptables pour la grande majorité des entreprises. C’est le plus souvent le coût des plans d’actions qui imposent la limite des risques et pas le risque lui-même.

40

Q21 : Dans votre entreprise, le risk manager a-t-il un devoir d’alerte pouvant conduire à l’abandon d’un projet ?

Oui42%

Non58%

Q22 : Dans le processus de validation des décisions de projet et d’investissement, êtes-vous impliqué(e) ?

Vous n’êtes pas impliqué(e) 54,5%

En amont dans la phase de développement ou de définition du projet

39,4%

En comité d’engagement ou d’investissement pour avis consultatif 24,2%

En comité d’engagement ou d’investissement avec droit de veto pouvant entrainer l’abandon pur et simple du projet

3%

En comité d’engagement ou d’investissement pour décision avec un droit de vote

0%

Dans cette réponse, se dessine l’approche de risk managers impliqués en phase amont voire en comité d’engagement avec droit de veto, ce que nous avons pu confirmer dans les entretiens individuels, qui nous ont permis de construire la posture « Stratégie et projets » de notre analyse.

Cette réponse confirme que le risk manager n’est pas suffisamment audible sur les sujets de risques stratégiques et projets. Ce que nous retrouverons dans les entretiens.

41

Q23 : Êtes-vous membre ou participant dans l’un de ces comités :

• membre : rôle actif et présence systématique aux comités

• participant : rôle consultatif et présence non obligatoire

35%

30%

25%

20%

15%

10%

5%

0%Comité

des risquesComité d’auditComité

stratégiqueComité

d’ethiqueComité

de direction

Légende : NA Participant Membre

Le risk management n’est pas suffisamment présent dans les instances décisionnelles stratégiques. Mais comme on l’a vu plus haut il détient la capacité du contact unipersonnel directe avec la Direction Générale qui, dans certains cas, agit comme un relais puissant du RM.

Q24 : Concernant le suivi des plans d’actions, avez-vous une responsabilité dans leur :

Pilotage43%

Mise en œuvre opérationnelle

33%

Contrôle de la mise en œuvre

74%

Contrôle de leur efficacité

53% 33 % participe à la mise en œuvre opérationnelle des plans d’actions. Cette réponse fait apparaitre un risk management fortement sur le terrain dans une posture de « Business partner ». De plus un contrôle de l’efficacité à plus de 50% démontre une orientation performance, le RM n’est plus dans le constat, il est dans le jugement.

42

Q25 : A quelle fréquence actualisez-vous :

40%

35%

30%

25%

20%

15%

10%

5%

0%Annuelle Hebdomadaire QuotidienneSemi-annuelle Trimestrielle Mensuelle

Légende : L’évaluation des risques Le suivi des plans d’actions

Q26 : Avez-vous une démarche structurée pour identifier et suivre les risques émergents ayant un impact sur votre activité ?

Oui44%

Non56% La question induit deux niveaux de

réponses. Certains risk managers peuvent analyser les risques émergents sans pour autant avoir une démarche structurée. Ces derniers répondent non à la question et viennent agréger ceux qui n’ont aucune analyse des risques émergents. A travers la réponse oui, on peut voir que 44% des risk managers travaillent sur les risques émergents, ce qui reste faible quand on considère que ceux qui ont répondu sont les plus en pointe dans le métier.

43

Q27 : Si oui, cette démarche est-elle indépendante ou articulée avec d’autres dispositifs de veille ?

Veille concurrentielle

69%Veille

technologique56%

Intelligence économique

49%

Autre12%

Q28 : A qui communiquez-vous les risques émergents / signaux faibles ?

Aux instances de direction

79%

Direction de la stratégie

22%

DirectionR&D3%

Aucune12%

Autre12%

Pour alimenter son analyse des risques émergents, le risk management se nourrit aussi de la veille externe réalisée par d’autres départements et en majorité la veille concurrentielle et technologique. Seul le RM qui détient les données de veille externe sera en mesure de challenger valablement les risques identifiés par les organisations marketing ou stratégie. Croisé à la réponse précédente, on voit là que la majorité des RM sont dans un constat passif des risques. Il leur est rarement demandé de les chalenger.

Cette réponse démontre vérita-blement le contact direct du Risk Manager avec les instances de direction et peut expliquer son absence dans les instances de décision. Le risk management est clairement un outil de direc-tion générale. C’est elle qui dé-cide de s’en servir dans sa gestion. Il semble que le RM soit une source d’information différente pour la DG qu’elle souhaite conserver en parallèle des autres instances décisionnelles pour mieux les confronter.

44

Q29 : Votre secteur d’activité a-t-il eu à connaître des ruptures modifiant structurellement le marché et votre business modèle ?

Oui48%

Non52%

Q30 : Si oui, en tant que risk manager, aviez-vous anticipé ces ruptures ?

Oui43%

Non57%

Près de 50 % des entreprises ont eu à connaître des ruptures modifiant structurellement leur business modèle.

Cette réponse met en exergue le fait remarquable que dans plus de la moitié des cas, le risk management n’a balayé que les risques imaginables de l’entreprise (business as usual, référentiel de risques) et n’a pas eu la capacité à traiter des incertitudes. Cette analyse a été confirmée par les entretiens individuels.

45

Q31 : Si oui, comment aviez-vous anticipé ces ruptures en tant que risk manager ?

80%

70%

60%

50%

40%

30%

20%

10%

0%

Benchmark Autre Veille Analyse de type stratégique

Via le processus ERM

Nous constatons que ce n’est pas le processus ERM qui est le premier canal pour anticiper les ruptures. La veille est focalisée sur l’externe, et la rupture vient de l’externe

Q32 : Avez-vous des dispositifs de retour d’expérience pour comprendre pourquoi ces ruptures n’avaient pas été anticipées ?

Oui23%

Non77%

Q33 : Avez-vous obtenu des progrès sur la diffusion d’une culture risque auprès des dirigeants et managers ?

Le risk management a très clairement permis une évolution dans la diffusion de la culture de risque dans l’entreprise au niveau des managers.

L’absence de retour d’expérience sur les aspects stratégiques ne lui permet pas de capitaliser sur les éventuelles ruptures. Il faut aussi comprendre que dans la majorité des cas il n’est pas dans sa mission d’identifier les ruptures. Cependant les entreprises ayant vécu ces ruptures, ont orienté le RM vers l’identification des risques stratégiques comprenant les ruptures de « business model ».

Retrouvez les autres Publications

Cahiers Techniques

Collection Dialoguer

Collection Maîtrise des Risques

Librairie en ligne www.amrae.fr/Publications

Prix de vente – exemplaire relié : 20 € TTC FRANCE

Le présent document, propriété de l’AMRAE, est protégé par le copyright.Toute reproduction, totale ou partielle est soumise à la mention obligatoire du droit d’auteur

Copyright ©AMRAE 2016

www.amrae.fr

Ce document, propriété de l’AMRAE, est protégé par le copyright.Toute reproduction, totale ou partielle est soumise à la mention obligatoire du droit d’auteur

Copyright ©AMRAE 2016

Documents

Du risk management 2016 de la gouvernance - AMRAEamrae.fr/sites/default/files/udr/2016_01_CTRMSTRATEGIE_WEB_AMRA… · A propos de l’AMRAE L’Association pour le Management des